Exploit zero day de Window permite que archivos JavaScript eludan la seguridad

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Se agregó una actualización al final del artículo que explica que cualquier archivo firmado con Authenticode, incluidos los ejecutables, se puede modificar para evitar las advertencias.

Un nuevo día cero de Windows permite a los actores de amenazas usar archivos JavaScript independientes maliciosos para eludir las advertencias de seguridad de Mark-of-the-Web. Los actores de amenazas ya se ven usando el error de día cero en los ataques de ransomware.

Windows incluye una función de seguridad llamada Mark-of-the-Web (MoTW) que marca un archivo como descargado de Internet y, por lo tanto, debe tratarse con precaución ya que podría ser malicioso.

La bandera MoTW se agrega a un archivo descargado o adjunto de correo electrónico como un Flujo de datos alternativo especial llamado 'Zone.Identifier', que se puede ver usando el comando 'dir /R' y se abre directamente en el Bloc de notas, como se muestra a continuación.

El flujo de datos alternativo Mark-of-the-Web
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Este flujo de datos alternativo 'Zone.Identifier' incluye de qué zona de seguridad URL proviene el archivo (tres equivale a Internet), la referencia y la URL del archivo.

Cuando un usuario intenta abrir un archivo con la marca Mark-of-the-Web, Windows mostrará una advertencia de que el archivo debe tratarse con precaución.

"Si bien los archivos de Internet pueden ser útiles, este tipo de archivo puede dañar potencialmente su computadora. Si no confía en la fuente, no abra este software", se lee en la advertencia de Windows.

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Microsoft Office también utiliza el indicador MoTW para determinar si el archivo debe abrirse en Vista protegida, lo que hace que se deshabiliten las macros.

Windows MoTW pasa por alto la falla de día cero

El equipo de inteligencia de amenazas de HP informó recientemente que los actores de amenazas están infectando dispositivos con ransomware Magniber utilizando archivos JavaScript.

Para ser claros, no estamos hablando de archivos JavaScript que se usan comúnmente en casi todos los sitios web, sino de archivos .JS distribuidos por actores de amenazas como archivos adjuntos o descargas que pueden ejecutarse fuera de un navegador web.

Los archivos JavaScript vistos distribuidos por los actores de amenazas de Magniber se firman digitalmente mediante un bloque de firma codificado en base64 incorporado, como se describe en este artículo de soporte de Microsoft:

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Archivo JavaScript utilizado para instalar Magniber Ransomware
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Después de ser analizado por Will Dormann, analista senior de vulnerabilidades de ANALYGENCE, descubrió que los atacantes firmaron estos archivos con una clave mal formada.

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Firma mal formada en archivo JavaScript malicioso
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Cuando se firmó de esta manera, aunque el archivo JS se descargó de Internet y recibió una marca de MoTW, Microsoft no mostraría la advertencia de seguridad y el script se ejecutaría automáticamente para instalar el ransomware Magniber.

Dormann probó aún más el uso de esta firma mal formada en archivos JavaScript y pudo crear archivos JavaScript de prueba de concepto que pasarían por alto la advertencia de MoTW.

Ambos archivos JavaScript (.JS) se compartieron, como se puede ver a continuación, y ambos recibieron una Marca de la Web, como lo indican los cuadros rojos, cuando se descargaron de un sitio web.

Mark-of-the-Web en la demostración PoC de Dormann
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

La diferencia entre los dos archivos es que uno está firmado con la misma clave mal formada de los archivos de Magniber y el otro no contiene ninguna firma.

Dormann's PoC Exploits
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Cuando se abre el archivo sin firmar en Windows 10, se muestra correctamente una advertencia de seguridad de MoTW.

Sin embargo, al hacer doble clic en 'calc-othersig.js', que está firmado con una clave mal formada, Windows no muestra una advertencia de seguridad y simplemente ejecuta el código JavaSript, como se muestra a continuación.

Demostración del día cero de Windows que pasa por alto las advertencias de seguridad
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Con esta técnica, los actores de amenazas pueden eludir las advertencias de seguridad normales que se muestran al abrir archivos JS descargados y ejecutar automáticamente el script.

Se pudo reproducir el error en Windows 10. Sin embargo, para Windows 11, el error solo se activaría al ejecutar el archivo JS directamente desde un archivo.

Dormann cree que este error se introdujo por primera vez con el lanzamiento de Windows 10, ya que un dispositivo con Windows 8.1 completamente parcheado muestra la advertencia de seguridad de MoTW como se esperaba.

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Según Dormann, el error proviene de la nueva función SmartScreen 'Comprobar aplicaciones y archivos' de Windows 10 en Seguridad de Windows> Control de aplicaciones y navegadores> Configuración de protección basada en la reputación.

"Este problema se encuentra en la nueva función SmartScreen de Win10. Y al deshabilitar "Comprobar aplicaciones y archivos", Windows vuelve al comportamiento heredado, donde las indicaciones de MotW no están relacionadas con las firmas de Authenticode", dijo Dormann.

"Desafortunadamente, toda esa configuración es actualmente una compensación. Por un lado, escanea los malos que se descargan".

"Por otro lado, los malos que se aprovechan de este error pueden obtener un comportamiento MENOS SEGURO de Windows en comparación con cuando la función está deshabilitada".


La vulnerabilidad de día cero es particularmente preocupante, ya que sabemos que los actores de amenazas la están explotando activamente en ataques de ransomware.

Dormann compartió la prueba de concepto con Microsoft, quien dijo que no podían reproducir la omisión de advertencia de seguridad de MoTW.

Sin embargo, Microsoft declaró que están al tanto del problema informado y lo están investigando.

Actualización 22/10/22

Después de la publicación de este artículo, Dormann dijo que los actores de amenazas podrían modificar cualquier archivo firmado con Authenticode, incluidos los ejecutables (.EXE), para eludir las advertencias de seguridad de MoTW.

Para hacer esto, Dormann dice que un ejecutable firmado puede modificarse usando un editor hexadecimal para cambiar algunos de los bytes en la parte de la firma del archivo y así corromper la firma.

Una vez que la firma está dañada, Windows no verificará el archivo con SmartScreen, como si no hubiera un indicador de MoTW, y permitirá que se ejecute.

"Los archivos que tienen un MotW se tratan como si no hubiera MotW si la firma está dañada. La diferencia en el mundo real depende del tipo de archivo que sea", explicó Dormann.

Fuente:
BleepingComputer
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

tiene buena pinta habrá que probarlo. ¿Lo habéis probado?

Sí funciona.

Ya Microsoft lanzó un parche no oficial:

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta